アカウント名:
パスワード:
1.大文字小文字を混在させることよりもパスワードは長くすることで強度が上がる
2.数字を入れさせることよりもパスワードは長くすることで強度が上がる
3.記号を入れさせることよりもパスワードは長くすることで強度が上がる
以上の理由から「パスワードには必ず大文字小文字混在で。数字は必ず使ってください」みたいなポリシーよりも「パスワードは何百文字でもひたすら長くしてくださって構いません。短いパスワードを設定した結果起きた不法ログイン事案は短いパスワードを設定したユーザーご本人の責任ですので責任を負いかねます」としてくれればいい
愚痴でも入れたらいいのかな。NagaiPasuwa-dowoIrerunohaMendokusai
実際、カナを単純にアルファベットにしたものは辞書攻撃にも強いからオススメだね攻撃側がこの人のパスワードがこの法則(子音+母音の法則性)で入力されているのを知っている場合に限ってはクラック速度も上がるけど、そんなことはないだろうしとはいえ使いまわしの懸念があるから、パスワードマネージャでサイト毎個別に設定しておいた方がいいのは確か
日本人のアタッカーなら普通にローマ字単語辞書ぐらい使うんじゃないかな
訓令式とヘボン式を混ぜるとか
使うとして、文章に何処まで対応できるのかね
今世紀初頭、パスフレーズ(空白文字を含むパスワード)が流行ったころ、歌詞とかをパスフレーズに使っていたほとんどのパスフレーズが50文字超だったけど、自作の暗号化ソフト以外では使い道が無かった数字入れろ記号入れろとか言われる度に、ひらカタ使わせろ、せめて50文字入れさせろと思う文字数以外では質問回答自由に設定できる秘密の質問が一番良かったんだが。まあ、英数字を1バイト文字で入力できるところは無かったんだが
バッファオーバーフロー攻撃喰らったりして
それはどの言語でも同じだろうに
いや、昭和の小学生にすらクラックされる程度の強度なのでおすすめできない
ENDDEMOGAMITAINA
システムがUTF-8のパスワードを食ってくれたら非英語圏のユーザーにはありがたい?
その理屈だと「1」を100回つづけてもよし?
多分ありまあ倍くらいにした方がいい気がするけど
ハニーポット的なサーバーを運用したことがあるけど、20文字超えるパスワードなんて試行された形跡はほとんど見かけなかった。12121212121212……… とかなら、十分な長さがあれば有用なのかも。
わかった。「2」を100回にする。
同じ文字だと正しい文字数を入力するのが相当難易度高そうだ。円周率200桁にするか。
およそ3世代は除く。
10文字を10回ペーストすればいいから楽# クリップボードに入れるのはどうなのかというのは考えないものとする
宝くじで、ぞろ目が出る確率も、一見ランダムっぽい特定の数字列が出る確率も同じなんだよね。ランダムにアタックする場合は、それでも有効なのかな。辞書に1が百個並んだものは登録されてないよね?
ネット上のサービスの場合、使用可能な文字数と文字種を明記してない場合が結構多い印象があるパスワードマネージャーでランダムな文字列を生成して登録してるんだが、後になってパスワードが通らなくて、末尾の文字を何文字か削ったら通ったことがあるせめて、パスワードを登録するときに文字数オーバーで警告を出してくれれば良いんだけどねそれすらない辺り、下手するとバッファオーバーフロー絡みの脆弱性も疑われてかなり怖い仕様だけど
|後になってパスワードが通らなくてスラドに最初登録したときに、新規登録時のほうが許容文字数が長かったのが原因でログインできなかった。
昔のことなので、いまのバージョンは大丈夫だとおもうが。
文字種の混在有無も文字列長もパスワードの強度評価軸としては不適切。鍵空間が最も広いパスワード生成ルールが最も強い。単に長いだけでどこぞの定型文丸写しじゃあ辞書で速攻貫かれるし、文法通りの英文とランダムな英単語の羅列では鍵長単語数が同じでも鍵空間は全然違う。
……そもそもストーリーの話は「強い」じゃなくて「良い」みたいな評価軸だったらそう大きな問題ではなかった訳で。純粋な強度の話しかしないなら鍵空間の大きさ以外に評価軸はない。覚えられず悪い運用されがちってのはパスワードの強度じゃなくて利便性の問題。
自己レス。パスクラ辞書にふつーに載ってる単語らしいんでいいとこ無しだった。ランダムな単語列とランダム英数記号列を並べてどっちが良いかって聞く形じゃないと駄目だな。
そんなに長くすることを推奨するのなら、自己責任とか書かずにもう最小長を長く設定したおいた方が良いのではと思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
パスワードは長くさせろ (スコア:3)
1.大文字小文字を混在させることよりもパスワードは長くすることで強度が上がる
2.数字を入れさせることよりもパスワードは長くすることで強度が上がる
3.記号を入れさせることよりもパスワードは長くすることで強度が上がる
以上の理由から「パスワードには必ず大文字小文字混在で。数字は必ず使ってください」みたいなポリシーよりも「パスワードは何百文字でもひたすら長くしてくださって構いません。短いパスワードを設定した結果起きた不法ログイン事案は短いパスワードを設定したユーザーご本人の責任ですので責任を負いかねます」としてくれればいい
Re: (スコア:0)
愚痴でも入れたらいいのかな。
NagaiPasuwa-dowoIrerunohaMendokusai
Re: (スコア:0)
実際、カナを単純にアルファベットにしたものは辞書攻撃にも強いからオススメだね
攻撃側がこの人のパスワードがこの法則(子音+母音の法則性)で入力されているのを知っている場合に限ってはクラック速度も上がるけど、そんなことはないだろうし
とはいえ使いまわしの懸念があるから、パスワードマネージャでサイト毎個別に設定しておいた方がいいのは確か
Re: (スコア:0)
日本人のアタッカーなら普通にローマ字単語辞書ぐらい使うんじゃないかな
Re:パスワードは長くさせろ (スコア:1)
訓令式とヘボン式を混ぜるとか
Re: (スコア:0)
使うとして、文章に何処まで対応できるのかね
Re:パスワードは長くさせろ (スコア:2)
今世紀初頭、パスフレーズ(空白文字を含むパスワード)が流行ったころ、歌詞とかをパスフレーズに使っていた
ほとんどのパスフレーズが50文字超だったけど、自作の暗号化ソフト以外では使い道が無かった
数字入れろ記号入れろとか言われる度に、ひらカタ使わせろ、せめて50文字入れさせろと思う
文字数以外では質問回答自由に設定できる秘密の質問が一番良かったんだが。まあ、英数字を1バイト文字で入力できるところは無かったんだが
Re: (スコア:0)
バッファオーバーフロー攻撃喰らったりして
Re: (スコア:0)
それはどの言語でも同じだろうに
Re: (スコア:0)
いや、昭和の小学生にすらクラックされる程度の強度なのでおすすめできない
ENDDEMOGAMITAINA
Re: (スコア:0)
システムがUTF-8のパスワードを食ってくれたら非英語圏のユーザーにはありがたい?
Re: (スコア:0)
Re: (スコア:0)
その理屈だと「1」を100回つづけてもよし?
Re: (スコア:0)
多分あり
まあ倍くらいにした方がいい気がするけど
Re: (スコア:0)
ハニーポット的なサーバーを運用したことがあるけど、20文字超えるパスワードなんて試行された形跡はほとんど見かけなかった。
12121212121212……… とかなら、十分な長さがあれば有用なのかも。
Re: (スコア:0)
わかった。「2」を100回にする。
Re: (スコア:0)
同じ文字だと正しい文字数を入力するのが相当難易度高そうだ。
円周率200桁にするか。
およそ3世代は除く。
Re: (スコア:0)
10文字を10回ペーストすればいいから楽
# クリップボードに入れるのはどうなのかというのは考えないものとする
Re: (スコア:0)
宝くじで、ぞろ目が出る確率も、一見ランダムっぽい特定の数字列が出る確率も同じなんだよね。
ランダムにアタックする場合は、それでも有効なのかな。
辞書に1が百個並んだものは登録されてないよね?
Re: (スコア:0)
ネット上のサービスの場合、使用可能な文字数と文字種を明記してない場合が結構多い印象がある
パスワードマネージャーでランダムな文字列を生成して登録してるんだが、後になってパスワードが通らなくて、末尾の文字を何文字か削ったら通ったことがある
せめて、パスワードを登録するときに文字数オーバーで警告を出してくれれば良いんだけどね
それすらない辺り、下手するとバッファオーバーフロー絡みの脆弱性も疑われてかなり怖い仕様だけど
Re: (スコア:0)
|後になってパスワードが通らなくて
スラドに最初登録したときに、新規登録時のほうが許容文字数が長かったのが原因でログインできなかった。
昔のことなので、いまのバージョンは大丈夫だとおもうが。
Re: (スコア:0)
文字種の混在有無も文字列長もパスワードの強度評価軸としては不適切。
鍵空間が最も広いパスワード生成ルールが最も強い。
単に長いだけでどこぞの定型文丸写しじゃあ辞書で速攻貫かれるし、
文法通りの英文とランダムな英単語の羅列では鍵長単語数が同じでも鍵空間は全然違う。
……そもそもストーリーの話は「強い」じゃなくて「良い」みたいな評価軸だったらそう大きな問題ではなかった訳で。
純粋な強度の話しかしないなら鍵空間の大きさ以外に評価軸はない。
覚えられず悪い運用されがちってのはパスワードの強度じゃなくて利便性の問題。
Re: (スコア:0)
自己レス。
パスクラ辞書にふつーに載ってる単語らしいんでいいとこ無しだった。
ランダムな単語列とランダム英数記号列を並べてどっちが良いかって聞く形じゃないと駄目だな。
Re: (スコア:0)
エンターキーなりログインボタンなりの操作をしないと。
Windows10、お前のことだ!
Re: (スコア:0)
そんなに長くすることを推奨するのなら、自己責任とか書かずにもう最小長を長く設定したおいた方が良いのではと思う。